Kaspersky Lab publicó sus hallazgos sobre la campaña de espionaje cibernético conocida como SneakyPastes, dirigida a individuos y organizaciones con intereses políticos de Oriente Medio en 39 países del mundo. En 2018, la campaña hizo uso de direcciones de correo electrónico desechables para propagar el virus mediante ataques de suplantación de identidad antes de descargar el malware en etapas encadenadas utilizando múltiples sitios gratuitos. Desde que Kaspersky compartió sus hallazgos con la policía, una parte significativa de la infraestructura de ataque ha sido eliminada.
El Cybergang de Gaza de habla árabe responsable de la campaña es un colectivo políticamente motivado de grupos interrelacionados que se dirigen activamente a Oriente Medio y África del Norte, con un enfoque particular en los territorios palestinos. Kaspersky Lab ha identificado al menos tres grupos dentro de la “pandilla”. Si bien estos grupos comparten objetivos y metas similares, como el ciberespionaje relacionado con los intereses políticos del Medio Oriente, los métodos que emplearon varían en complejidad.
Los grupos incluyen la Operación Parlamento y los Halcones del Desierto más avanzados, así como los MoleRats menos sofisticados, que fueron los encargados de lanzar SneakyPastes en la primavera de 2018.
SneakyPastes comenzó con ataques de phishing de temática política. Con el fin de evitar la detección y ocultar la ubicación del servidor de comando y control, se descargó malware adicional a los dispositivos víctimas en etapas encadenadas usando varios sitios gratuitos, como Pastebin y Github. Los diversos implantes maliciosos utilizaron PowerShell, VBS, JS y dotnet para asegurar la resistencia y la persistencia dentro de los sistemas infectados. La etapa final de la intrusión fue un troyano de acceso remoto, que se puso en contacto con el servidor de comando y control y luego recopiló, comprimió, cifró y cargó una amplia gama de documentos y hojas de cálculo robados al servidor. El nombre SneakyPastes se deriva del uso intensivo de los sitios de pegado de los atacantes para introducir gradualmente la RAT en los sistemas de la víctima.
La operación SneakyPastes estuvo en su nivel más activo entre abril y noviembre de 2018, y se centró en una pequeña lista de objetivos que incluían entidades diplomáticas y gubernamentales, organizaciones no gubernamentales y medios de comunicación. Alrededor de 240 individuos y corporaciones de alto perfil en 39 países parecen haber sido víctimas de la operación, la mayoría de ellos situados en los territorios palestinos, Jordania, Israel y el Líbano. Las víctimas incluyeron embajadas, entidades gubernamentales, medios de comunicación, periodistas, activistas y partidos políticos, así como organizaciones en los sectores de educación, banca y salud.
“El descubrimiento de los Halcones del Desierto en 2015 marcó un punto de inflexión en el panorama de amenazas, ya que era la primera APT conocida de habla árabe”, dijo Amin Hasbini, jefe del equipo global de investigación y análisis de Kaspersky’s Middle East Research Center.
“Ahora sabemos que su matriz, Gaza Cybergang, ha estado enfocándose activamente en los intereses del Medio Oriente desde 2012, inicialmente confiando en la mayoría de las actividades de un equipo poco sofisticado pero implacable. … Muestra que la falta de infraestructura y herramientas avanzadas no son un impedimento para el éxito. Esperamos que el daño ejercido por los tres grupos de Gaza Cybergang se intensifique y que los ataques se extiendan a otras regiones que también están vinculadas a los problemas palestinos”, dijo.